Имеется гипотетический компьютер с установленной ОC Windows 2003 Enterprise Server.
а. удаление из реестра ветки текущей версии известного ключа
б. добавление в реестр ветку с желаемым ключом с идентификатором, допустим, Windows XP Home версии.
В итоге в XP Home будет поддержка EFS, которой в оригинальной версии вообще нет, ключ реестра покажет дату и время, когда Вы сменили "тип ОС" (время последней записи ключа), батник, который Вы почему-то решили не удалять, это подтвердит. И это не говоря уже о всяких мелочах вроде точек восстановления, которые содержат в себе копии реестра.
При попытке загрузить данную ОС с диска он получает сообщение от системы что "ошибка запуска W#indows. Неверный серийный номер", т.е. ОС неработоспособна.
Файловая активность покажет, что более чем работоспособна
Тут уже можно накрутить все чего душе угодно. В сценарий коммандного файла можно прописать все что хочешь. От удаления резервных копий реестра и избранных веток (например Uninstall со списком установленных программ), до форматирования несистемных разделов на дисках и запуска своих копий на удаленных машинах в сети через службу терминала.
Придумать можно все что угодно, только вот далеко не каждый эникейщик может учесть все ньюансы, вроде точек восстановления. Более крутой вариант - использовать 2 ОС, одна "хорошая" (в вашем случае - XP), а другая зашифрована и ее существование можно правдоподобно отрицать (2003). Хотя на самом деле правдоподобное отрицание в криптографических продуктах является не более чем рекламным ходом - в ходе экспертизы можно доказать, что "хорошая" ОС не была запущена на компьютере в момент изъятия, например, путем сравнение обоев рабочего стола (а экран компьютера перед выключением принято фотографировать в цивилизованном обществе).